JP2003167805A - Network communication method among two or more user- side closed networks and server-side closed network, and server device - Google Patents
Network communication method among two or more user- side closed networks and server-side closed network, and server deviceInfo
- Publication number
- JP2003167805A JP2003167805A JP2001370464A JP2001370464A JP2003167805A JP 2003167805 A JP2003167805 A JP 2003167805A JP 2001370464 A JP2001370464 A JP 2001370464A JP 2001370464 A JP2001370464 A JP 2001370464A JP 2003167805 A JP2003167805 A JP 2003167805A
- Authority
- JP
- Japan
- Prior art keywords
- server
- network
- user
- communication
- closed network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、インターネットや
プライベートネットワークを介して接続された複数の異
なる閉域網間での通信を行うエクストラネット向けのア
プリケーションホスティングサービスや情報共有サーバ
サービスなどのネットワーク通信方法およびその装置に
関し、例えば物理的に1台のサーバを用いて複数のユー
ザ側閉域網にアプリケーションを提供するサーバサービ
スや、サーバを介してファイルやデータベースなどを複
数のユーザ側閉域網に共有化するサービスを行うための
複数ユーザ側閉域網とサーバ側閉域網間のネットワーク
通信方法およびサーバ装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network communication method such as an application hosting service for an extranet and an information sharing server service for communicating between a plurality of different closed networks connected via the Internet or a private network, and Regarding the device, for example, a server service that physically provides a user with a closed network for a plurality of users by using one server, or a service that shares files and databases with a plurality of closed networks through a server. The present invention relates to a network communication method and a server device between a closed network on the side of a plurality of users and a closed network on the side of a server.
【0002】[0002]
【従来の技術】インターネットを始めとするネットワー
ク通信の利用は広く普及しており、企業やコミュニティ
などは通信コストを安く抑えかつ安全な通信を行うため
に閉域網を利用してイントラネットやエクストラネット
を構築している。また、近年、閉域網は大企業のみなら
ず中小企業やSOHO(Small Office H
ome Office)でも用いられており、その数は
増加の傾向にある。さらに、閉域網を用いてLAN(L
ocal Area Network)内LAN(例え
ば、イントラネットの中にさらに階層的なネットを構築
した形態)を構築する等、閉域網の利用形態も多様化し
ている。2. Description of the Related Art The use of network communication such as the Internet is widely spread, and companies and communities use closed networks to provide intranets and extranets in order to keep communication costs low and to perform secure communication. I'm building. In recent years, closed networks are not limited to large enterprises, but also small and medium enterprises and SOHO (Small Office H
ome Office), and the number tends to increase. Furthermore, LAN (L
The usage form of the closed network is diversifying, such as the construction of a LAN in an ocal area network (for example, a form in which a hierarchical net is built in an intranet).
【0003】このような小規模多数化している閉域網に
サーバサービスを提供する方法として各閉域網にサーバ
を設置する方法があるが、コストや稼働がかかりサーバ
を設置する側の負担が大きい。そこで、物理的に1台の
サーバを用いて各閉域網にサーバサービスを行うのでは
あるが、インターネット通信機能とサーバプロセスとを
各ユーザ側閉域網間で共有することなく、各々のユーザ
側閉域網に独立した提供を可能にして、各閉域網にそれ
ぞれ専用サーバがあるかのような動作を可能にする仮想
プライベートサーバの構築を考えることにする。As a method of providing a server service to such a small-scale and large number of closed networks, there is a method of installing a server in each closed network, but the cost and operation are high and the burden on the server installation side is heavy. Therefore, although one server is physically used to provide a server service to each closed network, each user's closed network does not have to share the Internet communication function and the server process between the user's closed networks. We will consider the construction of a virtual private server that enables independent networks and operates as if each closed network had its own dedicated server.
【0004】閉域網の構築には、グローバルアドレスの
取得に手間とコストがかかるために、ローカルアドレス
を用いる方法が多く採用されている。このように構築さ
れている複数の閉域網に対して、物理的に1台のサーバ
を用いてサーバサービス提供を考えた場合、次のような
問題の解決が必要となる。
(1)サーバ側閉域網を含めた閉域網間でのローカルア
ドレス空間の衝突
(2)サーバを介して他の閉域網をまたぐ等の不正アク
セス
(3)サーバから各閉域網内にあるホストへの接続の確
立
(4)サーバ側を含む閉域網の追加や網構成変更の容易
性In the construction of a closed network, it takes a lot of time and cost to obtain a global address, so that a method using a local address is often adopted. Considering the provision of a server service by physically using one server for a plurality of closed networks constructed in this way, the following problems must be solved. (1) Collision of local address space between closed networks including server-side closed networks (2) Unauthorized access such as crossing other closed networks via server (3) From server to host in each closed network (4) Ease of adding a closed network including the server side and changing the network configuration
【0005】複数のユーザ側閉域網とサーバ側閉域網と
の間で通信を行うための従来技術としては、L2TP
(Layer 2 Tunneling Protoc
ol)やIPsec(IP security pro
tocol)などに代表されるIP(Internet
Protocol)トンネル技術、NAT(Netw
ork Address Translation)や
R−NAT(特願2001−016255号公報参照:
Root side−Network Address
Translation)に代表されるアドレス変換
技術、さらにIPトンネル技術とアドレス変換技術の両
者を用いる技術の3つがある。As a conventional technique for communicating between a plurality of user-side closed networks and a server-side closed network, L2TP is used.
(Layer 2 Tunneling Protocol
ol) and IPsec (IP security pro)
IP (Internet) such as tocol)
Protocol) tunnel technology, NAT (Network)
ork Address Translation and R-NAT (see Japanese Patent Application No. 2001-016255).
Root side-Network Address
There are three techniques, an address conversion technique typified by Translation, and a technique using both the IP tunnel technique and the address translation technique.
【0006】なお、IPトンネル技術の一つであるIP
secのトンネルモードは、閉域網内からのIPパケッ
トに広域ネットワーク内での転送に使用するIPヘッダ
を付与してカプセル化し、かつ暗号化処理を施すことに
より、閉域網間をセキュアに接続する仮想トンネルを作
成する技術である。L2TPでは、端末から公衆電話網
を経由して、インターネットプロバイダなどに設置され
たアクセスサーバに接続し、さらにこのサーバから閉域
網内に用意されたサーバと仮想的なトンネルを確立する
ことにより、端末と閉域網内との間でPPP(Poin
t−to−Point Protocol)による接続
を確立したようなみせるものである。また、NATは、
LANをインターネットに接続する際に、LAN側で使
用されているプライベートIPアドレスをインターネッ
ト側で割り当てられているグローバルIPアドレスに変
換する方法を規定したものである。IP, which is one of the IP tunnel technologies,
The tunnel mode of sec is a virtual connection that securely connects between closed networks by adding an IP header used for transfer in the wide area network to an IP packet from the closed network, encapsulating it, and performing encryption processing. This is a technique for creating a tunnel. In L2TP, a terminal connects to an access server installed in an internet provider or the like via a public telephone network, and this server establishes a virtual tunnel with a server prepared in the closed network, thereby Between the closed network and the PPP (Point
It is as if a connection by t-to-Point Protocol) was established. Also, NAT is
It defines a method of converting a private IP address used on the LAN side to a global IP address assigned on the Internet side when connecting the LAN to the Internet.
【0007】今、ここにユーザ側閉域網A、Bがインタ
ーネットを介してサーバ側閉域網SにIPトンネルを用
いて互いの網間アクセスサーバにより接続されているも
のとする。ユーザ側閉域網A、Bに属する各ホストとS
に属するサーバは、それぞれアドレス空間A,B,Sが
割り当てられている。この構成により、各ホストは同じ
閉域網に属するサーバと接続しているように見せること
ができる。これにより、各閉域網に割り当てられている
ローカルアドレスをそのまま使用することが可能にな
る。しかし、閉域網では、ホストにローカルアドレスを
自由に割り当てるので、ユーザ側閉域網間やユーザ側閉
域網とサーバ側閉域網間でアドレス空間が重複する場合
がある。ユーザ側閉域網間でアドレス空間が重複する場
合、サーバから見ると同一のアドレスを持つホストが複
数存在していることになり、サーバはどのホストと通信
しているのかを正しく認識することができない、という
問題が生じる。Now, it is assumed that the user-side closed networks A and B are connected to the server-side closed network S via the Internet by an inter-network access server using an IP tunnel. Hosts and S belonging to the user-side closed networks A and B
Address spaces A, B, and S are assigned to the servers belonging to. With this configuration, each host can be made to appear to be connected to a server belonging to the same closed network. As a result, the local address assigned to each closed network can be used as it is. However, in the closed network, local addresses are freely assigned to the host, so that the address space may overlap between the user-side closed networks or between the user-side closed network and the server-side closed network. If the address space overlaps between the user-side closed networks, there are multiple hosts with the same address from the perspective of the server, and the server cannot correctly recognize which host it is communicating with. , The problem arises.
【0008】また、ユーザ側閉域網に属し、ローカルア
ドレスを割り当てられたホストがインターネット上のグ
ローバルアドレスを割り当てられたサーバと通信を行う
ためには、そのホストもグローバルアドレスを持つ必要
がある。この時、閉域網とインターネットとの境界に設
けたNAT装置にグローバルアドレスを静的に割り当
て、このグローバルアドレスとホストに割り当てられた
ローカルアドレスとを対応付けることにより、ホストと
サーバ間の接続を可能にする。Further, in order for a host belonging to the closed network on the user side and assigned a local address to communicate with a server assigned a global address on the Internet, the host must also have a global address. At this time, a global address is statically assigned to the NAT device provided at the boundary between the closed network and the Internet, and the global address and the local address assigned to the host are associated with each other, thereby enabling the connection between the host and the server. To do.
【0009】しかし、NAT技術は、ローカルアドレス
を割り当てられたホストからの接続要求によってそのロ
ーカルアドレスとグローバルアドレスとを動的に対応付
けて接続の識別を行うために、ホストからの接続要求に
よって確立されるホストとサーバ間の接続が一旦切断さ
れると、その接続に用いたローカルアドレスとグローバ
ルアドレスとの対応は効力を失ってしまうので、グロー
バルアドレスを割り当てられたサーバからローカルアド
レスを静的に割り当てられたホストへの情報発信などプ
ッシュ型サービスは不可能となる。さらに、サーバは閉
域網の識別を行うことができないため、各閉域網に属す
るホストに対して閉域網に固有のサービスや情報を提供
することが困難になる、という問題が生じる。However, the NAT technique is established by a connection request from the host in order to identify the connection by dynamically associating the local address and the global address with the connection request from the host to which the local address is assigned. Once the connection between the host and the server being disconnected is lost, the correspondence between the local address used for the connection and the global address becomes invalid, so the local address is statically set from the server to which the global address is assigned. Push-type services such as sending information to assigned hosts are not possible. Further, since the server cannot identify the closed network, it becomes difficult to provide the services and information unique to the closed network to the hosts belonging to each closed network.
【0010】そこで、複数のユーザ側閉域網とサーバ側
閉域網とをそれぞれのIPトンネルを用いて接続し、I
Pトンネルを終端するサーバ側閉域網のアクセスサーバ
において、ユーザ側閉域網のホストとIPトンネルのペ
アに対して固有となるIPアドレスを割り当て、これを
記憶する。このIPアドレスとホストに割り当てられた
ローカルアドレスとを対応付けることにより、ホストと
サーバ間の接続を可能にする。このように、閉域網を特
定するアドレス空間の中からホストごとに異なるIPア
ドレスを用いてアドレスの変換を行うため、接続してく
るユーザ側閉域網間でのローカルアドレス空間の衝突回
避やサーバから特定ホストへの接続を可能にしている。Therefore, a plurality of user-side closed networks and server-side closed networks are connected using respective IP tunnels, and I
In the access server of the server-side closed network that terminates the P tunnel, a unique IP address is assigned to the host-IP network pair of the user-side closed network, and this is stored. By associating this IP address with the local address assigned to the host, the connection between the host and the server becomes possible. In this way, since the IP address that is different for each host is used from the address space that specifies the closed network, the address translation is performed, so that the collision of the local address space between the connected user-side closed networks and the server can be avoided. It is possible to connect to a specific host.
【0011】しかし、それぞれのユーザ側閉域網では、
サーバが自分らの網内に属しているかのように自由なロ
ーカルアドレスを用いてサーバにアドレスを割り当てる
ことは許されない。他のユーザ側閉域網に使用されてい
るローカルアドレス空間や他のユーザ側閉域網がサーバ
への割り当てを希望しているローカルアドレス空間を考
慮した上で、各ユーザ側閉域網に固有のサーバアドレス
を決定しなくてはならないという問題が生じる。その結
果として、物理的に1台のサーバを用いて各ユーザ側閉
域網にそれぞれ専用サーバがあるかのように動作させる
という環境が満たされていない。However, in each user-side closed network,
It is not permissible to assign addresses to servers using free local addresses as if they belong to their network. A server address that is unique to each user's closed network, taking into consideration the local address space used by the other user's closed network and the local address space that other user's closed networks desire to allocate to the server. The problem arises of having to decide. As a result, an environment is not satisfied in which one server is physically used to operate as if there is a dedicated server in each user-side closed network.
【0012】さらに、ある1つのサーバアプリケーショ
ンを各ユーザ側閉域網に提供する際に、サーバは共通の
サーバプロセスを用いて全てのユーザ側閉域網に提供を
行っていることが多く、サーバ内部におけるユーザ側閉
域網間の分離はサーバに接続してくるアドレスの違いに
よってのみ行われるため、サーバを介して他のユーザ側
閉域網をまたぐ等の不正アクセスの防止ができなくなる
とともに、サーバおよびサーバ上で実行されるサーバア
プリケーションが常にアドレスの違いを意識したカスタ
マイズを強要されるので、設定する箇所が非常に多くな
り、その結果、閉域網の追加や網構成の変更が困難にな
る、という問題が生じる。Further, when a certain server application is provided to each user-side closed network, the server often uses a common server process to provide all user-side closed networks. Separation between the closed networks on the user side is performed only by the difference in the address that connects to the server, so it becomes impossible to prevent unauthorized access such as crossing other closed networks on the user side via the server, and at the same time on the server and the server. Since the server application that is executed on the server is always forced to be aware of the difference in address, the number of locations to be set is extremely large, and as a result, it is difficult to add a closed network or change the network configuration. Occurs.
【0013】[0013]
【発明が解決しようとする課題】従来、インターネット
通信においては、TCP/IPプロトコル群がホストや
ルータなどの機器の間での通信に使用されている。その
TCP/IPプロトコル群はインターネットプロトコル
スタックと呼ばれる。このプロトコルスタックの役割と
して、サーバ装置の物理ネットワークインタフェースま
たは複数の仮想的な論理デバイスインタフェースに割り
当てられるIPアドレス(サーバアドレス)の保持、パ
ケット配送のための経路(ルーティング)情報の保持、
各プロトコルパケットの処理などインターネット環境で
のネットワーク通信機能を担う。Conventionally, in Internet communication, the TCP / IP protocol group has been used for communication between devices such as hosts and routers. The TCP / IP protocol group is called an internet protocol stack. The role of this protocol stack is to hold an IP address (server address) assigned to a physical network interface of a server device or a plurality of virtual logical device interfaces, hold route (routing) information for packet delivery,
It is responsible for network communication functions in the Internet environment such as processing of each protocol packet.
【0014】図2は、従来のインターネットプロトコル
スタックを示す図である。物理層およびデータリンク層
を含むリンク層63は、ハードウェアインタフェース
(ドライバを含む)632,ARP(Address
Resolution Protocol)633,お
よびRARP(Reverse Address Re
solution Protocol)631によって
構成される。ARP633は、IPアドレスからそのI
Pアドレスに対応するノードのハードウェアアドレス
(MACアドレス等)を要求するためのプロトコルであ
り、RARP631は、これとは逆に、自ノードのMA
Cアドレスを元に、自ノードのIPアドレスを要求する
ためのプロトコルである。FIG. 2 is a diagram showing a conventional Internet protocol stack. The link layer 63 including the physical layer and the data link layer includes hardware interfaces (including drivers) 632, ARP (Address).
Resolution Protocol (633) and RARP (Reverse Address Re)
solution protocol 631. ARP 633 is the IP address
The RARP 631 is a protocol for requesting the hardware address (MAC address or the like) of the node corresponding to the P address.
This is a protocol for requesting the IP address of the own node based on the C address.
【0015】ネットワーク層62は、IP処理部62
2,ICMP(Internet Control M
essage Protocol)623,およびIG
MP(Internet Group Managem
ent Protocol)621によって構成され
る。ICMP623は、IPプロトコルの状態に関する
情報を管理するために使用されるプロトコルであり、I
GMP621はIPマルチキャストを実現するためのプ
ロトコルである。The network layer 62 includes an IP processing unit 62.
2, ICMP (Internet Control M)
ESSAGE PROTOCOL) 623, and IG
MP (Internet Group Management)
ent Protocol) 621. ICMP 623 is a protocol used to manage information regarding the state of the IP protocol.
GMP621 is a protocol for realizing IP multicast.
【0016】トランスポート層61は、TCP(Tra
nsmission Control Protoco
l)612とUDP(User Datagram P
rotocol)611によって構成される。TCP6
12は、IPの上位プロトコルで、コネクション型で信
頼性の高い通信を提供し、UDP611はコネクション
レス型のプロトコルで、信頼性確保のための処理を実施
しないため、TCPに比べ高速に処理できる。アプリケ
ーション層60は、ユーザプロセス601によって、エ
ンドユーザでユーザが直接利用する通信サービスを提供
する。The transport layer 61 is a TCP (Tr
nsmission Control Protocol
l) 612 and UDP (User Datagram P)
protocol) 611. TCP6
Reference numeral 12 is a higher-level protocol of IP, which provides connection-type and highly reliable communication, and UDP 611 is a connectionless-type protocol, which does not perform processing for ensuring reliability, and therefore can perform processing faster than TCP. The application layer 60 uses the user process 601 to provide a communication service that the end user directly uses.
【0017】従来のサーバ装置には、プロトコルスタッ
クが1つのみ用意されており、このサーバ装置と通信を
行うホストやルータは、このプロトコルスタックによっ
て提供されるインターネット通信機能とこのプロトコル
スタックを通して提供されるサーバプロセスとを共有し
て利用している。 従って、複数のユーザ側ネットワー
クに対してサーバサービスを展開するサーバ装置の場
合、その多くがユーザ側ネットワークごとに区別してサ
ービスを行わなければならないために、サーバ装置にお
いて、ユーザ側ネットワークの特定と分離が必要であ
る。The conventional server device is provided with only one protocol stack, and the hosts and routers that communicate with this server device are provided with the Internet communication function provided by this protocol stack and this protocol stack. Shared with other server processes. Therefore, in the case of a server device that deploys a server service to a plurality of user-side networks, many of them have to perform the service separately for each user-side network, and therefore the server device specifies and separates the user-side network. is necessary.
【0018】従来のサーバ技術では、サーバに向けて送
信されるパケットの送信元アドレスや送信先アドレスの
違いを利用してユーザ側ネットワークの特定と分離を行
うが、ユーザ側ネットワークがローカルアドレス空間を
自由に割り当てることができる閉域網により構築されて
いる場合には、閉域網間におけるローカルアドレス空間
の衝突を回避するために、アドレスの制限や変換など強
制的なアドレス管理を行い、閉域網間の特定と分離を行
い易くしている。しかし、サーバ装置のネットワーク通
信機能とサーバプロセスとをユーザ側ネットワークの各
々に共有して提供することは、アドレス管理等により、
閉域網の特徴である閉域性、サーバからの自発的な情報
配信であるプッシュ型サービス、閉域網の追加や網構成
変更の容易性などのネットワークサービスの実現を難し
くしている。In the conventional server technology, the difference between the source address and the destination address of the packet transmitted to the server is used to identify and separate the user side network, but the user side network uses the local address space. In the case of a closed network that can be freely assigned, in order to avoid local address space conflicts between closed networks, forcible address management such as address restriction and translation is performed, and It facilitates identification and separation. However, providing the network communication function of the server device and the server process in a shared manner on each of the user side networks is performed by address management or the like.
It is difficult to realize network services such as closedness, which is a feature of closed networks, push-type services that are voluntary information distribution from servers, and ease of adding closed networks and changing network configurations.
【0019】そこで、本発明の目的は、これら従来の課
題を解決し、複数のユーザ側閉域網がサーバ側閉域網と
IPトンネルを用いてアクセスサーバにより接続を行う
ネットワーク通信において、サーバ側閉域網に設置する
物理的に1台のサーバ装置により提供されるインターネ
ット通信機能とサーバプロセスとを各ユーザ側閉域網間
で共有することなく、各々のユーザ側閉域網に独立した
提供を可能にし、そのサーバ装置が各々のユーザ側閉域
網に属している専用サーバであるかのような動作を実現
することができる複数ユーザ側閉域網とサーバ側閉域網
間のネットワーク通信方法およびサーバ装置を提供する
ことにある。Therefore, an object of the present invention is to solve these conventional problems, and in network communication in which a plurality of user-side closed networks are connected to a server-side closed network by an access server using an IP tunnel, the server-side closed network is used. It is possible to independently provide each user-side closed network without sharing the internet communication function and server process physically provided by one server device installed in each user-side closed network. To provide a network communication method between a plurality of user-side closed networks and a server-side closed network and a server device capable of realizing an operation as if the server device is a dedicated server belonging to each user-side closed network. It is in.
【0020】[0020]
【課題を解決するための手段】上記目的を達成するた
め、本発明による複数ユーザ側閉域網とサーバ側閉域網
間のネットワーク通信方法では、サーバ装置において、
サーバプロセス群からプロトコルスタックまでの上位通
信フローと、プロトコルスタックから物理ネットワーク
インタフェースまたは論理デバイスインタフェースまで
の下位通信フローとの組み合わせからなる通信フローを
複数装備し、この通信フローをユーザ側閉域網ごとに1
つずつ割り当てることにより、各ユーザ側閉域網とサー
バ間のサーバ内における個々の通信経路をネットワーク
上、論理的に分離し、複数接続しているユーザ側閉域網
の特定と分離を実現する。In order to achieve the above object, in a network communication method between a closed network of a plurality of users and a closed network of a server according to the present invention, in a server device,
Equipped with multiple communication flows consisting of a combination of upper communication flow from server process group to protocol stack and lower communication flow from protocol stack to physical network interface or logical device interface. This communication flow is provided for each closed network on the user side. 1
By allocating them one by one, the individual communication paths in the server between each user-side closed network and the server are logically separated on the network, and the user-side closed networks that are connected to each other are specified and separated.
【0021】本発明のサーバ装置は、各ユーザ側閉域網
に割り当てた固有の通信フローを用いて、プロトコルス
タックが担うサーバアドレスの保持、パケット配送経路
の制御、各プロトコルパケットの処理などのインターネ
ット通信機能とWebサーバ、FTPサーバなどのサー
バプロセスとを独立して提供し、ユーザ側閉域網間は他
のユーザ側閉域網と通信フローを共有されることなく、
ネットワーク上、論理的に閉域性を保持したままサーバ
装置との通信を実現する。The server device of the present invention uses the unique communication flow assigned to each user-side closed network to hold the server address carried by the protocol stack, control the packet delivery route, and process internet packets such as processing each protocol packet. The function and the server process such as the Web server and the FTP server are provided independently, and the communication flow between the user-side closed networks is not shared with other user-side closed networks.
On the network, communication with the server device is realized while logically maintaining closedness.
【0022】本発明により、複数のユーザ側閉域網がサ
ーバ側閉域網とIPトンネルを用いてアクセスサーバに
より接続を行うネットワーク通信において、サーバ側閉
域網に設置する物理的に1台のサーバ装置によって提供
されるインターネット通信機能とサーバプロセスとを各
ユーザ側閉域網間で共有することなく、そのサーバ装置
が各々のユーザ側閉域網に属している専用サーバである
かのように動作することが可能になる。According to the present invention, in a network communication in which a plurality of user-side closed networks are connected to a server-side closed network by an access server using an IP tunnel, a physically single server device installed in the server-side closed network is used. It is possible to operate as if the server device is a dedicated server belonging to each user-side closed network without sharing the provided Internet communication function and server process between the user-side closed networks. become.
【0023】[0023]
【発明の実施の形態】以下、本発明の実施例を、図面に
より詳細に説明する。図1は、本発明のネットワーク間
通信方法を実現するシステム概念図である。
(構成)ここでは、通信フローおよび外部接続が3の場
合の構成を示している。複数のユーザ側閉域網(A)3
1,(B)32,(C)33がサーバ側閉域網10との
間で、IPトンネルを用いてアクセスサーバ26,2
8,29,30により接続を行っている。各ユーザ側閉
域網31〜33に属するホストa,b,cは、サーバ側
閉域網10に設置する物理的に1台のサーバ装置11か
らサーバサービスの提供を受ける。なお、サーバ側閉域
網10のアクセスサーバ装置26のホスティングサービ
スについては、特開2001−016255号公報に記
載の『閉域網間接続システムと閉域網間接続方法および
その処理プログラムを記録した記録媒体ならびにホステ
ィングサービスシステム』を参照されたい。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described in detail below with reference to the drawings. FIG. 1 is a conceptual diagram of a system for realizing the inter-network communication method of the present invention. (Structure) Here, a structure in the case where the communication flow and the external connection are 3 is shown. Multiple user-side closed networks (A) 3
1, (B) 32, (C) 33 and the server-side closed network 10 access servers 26, 2 using an IP tunnel.
Connection is made by 8, 29, 30. The hosts a, b, and c that belong to each of the user-side closed networks 31 to 33 receive the server service from one physically installed server device 11 installed in the server-side closed network 10. Regarding the hosting service of the access server device 26 of the server-side closed network 10, a recording medium recording the "inter-closed network connection system and the closed inter-network connection method and its processing program" described in Japanese Patent Laid-Open No. 2001-016255. Hosting service system ".
【0024】サーバ装置11は、通信フローを200程
度(図中では3個,12,13,14)備えており、各
々のプロトコルスタック19,20,21は図2に示す
ように、従来のインターネットプロトコルスタックと同
じである。すなわち、サーバプロセス群15,16,1
7とTCP/IPプロトコル群19,20,21とが上
位マッピングモジュール18を介して接続され、これら
TCP/IPプロトコル群19,20,21と論理デバ
イスインタフェース23,24,25とが下位マッピン
グモジュール22を介して接続されている。サーバ装置
11は、論理デバイスインタフェース23,24,25
をこれらのプロトコルスタックと同数だけ備えている。The server device 11 has about 200 communication flows (3, 12, 13, 14 in the figure), and each protocol stack 19, 20, 21 has a conventional Internet as shown in FIG. Same as protocol stack. That is, the server process group 15, 16, 1
7 and the TCP / IP protocol groups 19, 20, 21 are connected via the upper mapping module 18, and the TCP / IP protocol groups 19, 20, 21 and the logical device interfaces 23, 24, 25 are connected to the lower mapping module 22. Connected through. The server device 11 includes logical device interfaces 23, 24, 25.
As many as these protocol stacks.
【0025】サーバ装置11は論理デバイスインタフェ
ース23,24,25のそれぞれにリンクするプロトコ
ルスタック19,20,21と各プロトコルスタック1
9,20,21にリンクするサーバプロセス群15,1
6,17とを組み合わせてできる通信フロー12,1
3,14により、ユーザ側閉域網31,32,33間を
ネットワーク上、論理的に分離し、各々のユーザ側閉域
網31,32,33に独立したサーバサービスの提供を
行う。以下では、各ユーザ側閉域網31,32,33の
ホストa,b,cがサーバ側閉域網10に設置されるサ
ーバ装置11を利用するための実施例について説明す
る。The server device 11 has protocol stacks 19, 20, 21 linked to the respective logical device interfaces 23, 24, 25 and each protocol stack 1
Server process group 15,1 linked to 9,20,21
Communication flow 12 and 1 that can be combined with 6 and 17
The user side closed networks 31, 32 and 33 are logically separated from each other on the network by 3, 14 and an independent server service is provided to each user side closed network 31, 32 and 33. Hereinafter, an embodiment will be described in which the hosts a, b, and c of the user-side closed networks 31, 32, and 33 use the server device 11 installed in the server-side closed network 10.
【0026】図3は、本発明における閉域網の識別にV
LANタグを用いた場合のネットワーク間通信方法の動
作説明図である。
(通信準備)それぞれの閉域網31,32,33では、
ローカルアドレスを自由に用いて各ホストa,b,cに
割り当てており、他の閉域網の存在を知らないものとす
る。ホストaは、閉域網31に属しており、IPアドレ
スLa(192.168.1.10)が割り当てられている。ホスト
bは閉域網32に属しており、IPアドレスLb(192.
168.1.10)が割り当てられている。また、ホストcは閉
域網33に属しており、IPアドレスLc(192.168.1.
10)が割り当てられている。閉域網31,32,33間
では、ローカルアドレス空間が衝突する可能性があるた
め、本実施例では故意に衝突させている。FIG. 3 shows V for identifying a closed network in the present invention.
It is an operation explanatory view of an inter-network communication method when a LAN tag is used. (Communication preparation) In each closed network 31, 32, 33,
It is assumed that the local addresses are freely used and assigned to the hosts a, b, and c, and the existence of other closed networks is unknown. The host a belongs to the closed network 31 and is assigned an IP address La (192.168.1.10). The host b belongs to the closed network 32 and has an IP address Lb (192.
168.1.10) has been assigned. Further, the host c belongs to the closed network 33 and has an IP address Lc (192.168.1.
10) is assigned. Since there is a possibility that the local address spaces will collide between the closed networks 31, 32 and 33, they are intentionally collided in this embodiment.
【0027】サーバ側閉域網10のアクセスサーバ
(S)26と各ユーザ側閉域網31,32,33のアク
セスサーバ(A)28,(B)29,(C)30には、
グローバルIPアドレスとして、それぞれGs(129.6
0.1.1),Ga(129.60.2.1),Gb(129.60.3.1),Gc
(129.60.4.1)が割り当てられている。The access server (S) 26 of the server-side closed network 10 and the access servers (A) 28, (B) 29, (C) 30 of the user-side closed networks 31, 32, 33 include:
Gs (129.6
0.1.1), Ga (129.60.2.1), Gb (129.60.3.1), Gc
(129.60.4.1) is assigned.
【0028】ユーザ側閉域網31はサーバ装置11にロ
ーカルアドレスSa(192.168.1.1)を、ユーザ側閉域網
32はSb(192.168.1.1)を、ユーザ側閉域網33はS
c(192.168.1.1)を割り当てようとしている。各ユーザ
側閉域網31〜33がサーバアドレスにローカルアドレ
ス空間を自由に割り当てる場合、閉域網間でサーバアド
レスが衝突する可能性があるため、本実施例においては
故意に衝突をさせている。この要求に従い、サーバ装置
11側では、閉域網31用として割り当てる通信フロー
12の論理デバイスインタフェース23(dev0)に対し
てサーバアドレスSa(192.168.1.1)を、閉域網32用
として割り当てる通信フロー13の論理デバイスインタ
フェース24(dev1)に対してサーバアドレスSb(19
2.168.1.1)を、閉域網33用として割り当てる通信フロ
ー14の論理デバイスインタフェース25(dev2)に対
してサーバアドレスSc(192.168.1.1)を、それぞれ割
り当てる。The user-side closed network 31 has a local address Sa (192.168.1.1) for the server device 11, the user-side closed network 32 has Sb (192.168.1.1), and the user-side closed network 33 has S.
I am trying to allocate c (192.168.1.1). When the user-side closed networks 31 to 33 freely allocate the local address space to the server addresses, there is a possibility that the server addresses will collide with each other in the closed networks. Therefore, the collision is intentionally made in this embodiment. In accordance with this request, on the server device 11 side, in the communication flow 13 for allocating the server address Sa (192.168.1.1) for the closed network 32 to the logical device interface 23 (dev0) of the communication flow 12 for allocating the closed network 31 For the logical device interface 24 (dev1), the server address Sb (19
The server address Sc (192.168.1.1) is allocated to the logical device interface 25 (dev2) of the communication flow 14 in which 2.168.1.1) is allocated for the closed network 33.
【0029】このとき、図3に示す下位マッピングモジ
ュール22では、論理デバイスインタフェース23,2
4,25とプロトコルスタック19,20,21との間
の下位通信フローを管理し、プロトコルスタック19,
20,21を該当する論理デバイスインタフェース2
3,24,25にリンクさせると同時に、それぞれ下位
通信フローを構成するプロトコルスタック19,20,
21と論理デバイスインタフェース23,24,25と
のペア、およびこの下位通信フローを利用する閉域網の
代わりとなるVLAN(Virtual LAN)タグ
34,35,36をセット〔(inet0,dev0)⇔vlan60
0〕、〔(inet1,dev1)⇔vlan601〕、〔(inet2,dev
2)⇔vlan602〕にして、テーブルに記憶する。つまり、
VLANタグ34,35,36の値が閉域網を識別す
る。従来のサーバ装置では、インターネットプロトコル
スタックを1つしか持たないため、複数の論理デバイス
インタフェースに対して同じサーバアドレスを割り当て
ることはできなかったが、本発明においては、プロトコ
ルスタックを複数装備することにより、これを可能にし
ている。At this time, in the lower mapping module 22 shown in FIG. 3, the logical device interfaces 23, 2
4, 25 and the protocol stacks 19, 20, 21 for managing the lower communication flow, and the protocol stacks 19,
Logical device interface 2 corresponding to 20, 21
At the same time as linking with 3, 24, and 25, the protocol stacks 19, 20,
21 (a pair of logical device interfaces 23, 24, 25) and a set of VLAN (Virtual LAN) tags 34, 35, 36 which are alternatives to a closed network using this lower communication flow [(inet0, dev0) ⇔ vlan60
0], [(inet1, dev1) ⇔vlan601], [(inet2, dev
2) ⇔ vlan602] and store it in the table. That is,
The values of the VLAN tags 34, 35, 36 identify closed networks. Since the conventional server device has only one internet protocol stack, it is impossible to assign the same server address to a plurality of logical device interfaces. However, in the present invention, a plurality of protocol stacks are provided. , Makes this possible.
【0030】次に、各ユーザ側閉域網31,32,33
がサーバ装置11をWebサーバとして利用することを
考える。サーバ装置11は、サーバプロセス15,1
6,17がどの閉域網によって利用されるかをプロセス
のグループIDにより認識する。ユーザ側閉域網31に
はグループID(gid1000)、ユーザ側閉域網32にはグ
ループID(gid1001)、ユーザ側閉域網33にはグルー
プID(gid1002)を割り当て、各閉域網31,32,3
3が利用するWebサーバのサーバプロセスはそれぞれ
に割り当てられるグループIDを以って実行される。こ
のとき、図3に示す上位マッピングモジュール18で
は、サーバプロセス群15,16,17とプロトコルス
タック19,20,21との間の上位通信フローを管理
し、サーバプロセス15,16,17を該当するプロト
コルスタック19,20,21にリンクさせると同時
に、それぞれの上位通信フローのプロトコルスタックと
グループIDとのペア〔inet0⇔gid1000〕、〔inet1⇔g
id1001〕、〔inet2⇔gid1002〕をテーブルに記憶する。Next, each user side closed network 31, 32, 33
Consider using the server device 11 as a Web server. The server device 11 has server processes 15 and 1
Which closed network 6 and 17 are used is recognized by the group ID of the process. A group ID (gid1000) is assigned to the user-side closed network 31, a group ID (gid1001) is assigned to the user-side closed network 32, and a group ID (gid1002) is assigned to the user-side closed network 33.
The server process of the Web server used by 3 is executed with the group ID assigned to each. At this time, the upper level mapping module 18 shown in FIG. 3 manages the upper level communication flow between the server process groups 15, 16, 17 and the protocol stacks 19, 20, 21 and corresponds to the server processes 15, 16, 17. At the same time as linking to the protocol stacks 19, 20, and 21, the protocol stack and group ID of each upper communication flow [inet0⇔gid1000], [inet1⇔g
id1001], [inet2⇔gid1002] are stored in the table.
【0031】以上で、上位通信フローと下位通信フロー
との組み合わせによってできる通信フロー12,13,
14の準備が各ユーザ側閉域網31,32,33に対し
て完了する。以下では、各ユーザ側閉域網31,32,
33のホストa,b,cがサーバ側閉域網10に設置さ
れるサーバ装置11と通信を行う方法について説明す
る。As described above, the communication flows 12, 13, which are made by combining the upper communication flow and the lower communication flow,
Preparation of 14 is completed for each user side closed network 31, 32, 33. In the following, each user side closed network 31, 32,
A method in which the hosts a, b, and c of 33 communicate with the server device 11 installed in the server-side closed network 10 will be described.
【0032】(通信動作)
(ユーザ側閉域網のホストからサーバ装置へ)ユーザ側
閉域網31,32,33に属する各ホストa,b,cが
Webサーバとしてのサーバ装置11と通信することを
考える。まず、ホストaは、閉域網31内に構築したロ
ーカルなDNS(Domain Name Syste
m)によりサーバ側閉域網10に属するサーバ装置11
のローカルアドレスSaを取得する。そして、アクセス
サーバ(A)28に向けてパケットを送信する。他のホ
ストb,cも、同様にそれぞれアクセスサーバ(B)2
9,(C)30に向けてパケットを送信する。(Communication Operation) (From Host of Closed Network on User Side to Server Device) Each host a, b, c belonging to the closed networks 31, 32, 33 of user side communicates with the server device 11 as a Web server. Think First, the host a is a local DNS (Domain Name System) built in the closed network 31.
server device 11 belonging to the server-side closed network 10 by m)
To obtain the local address Sa. Then, the packet is transmitted to the access server (A) 28. Similarly, the other hosts b and c have access servers (B) 2 respectively.
9, the packet is transmitted to (C) 30.
【0033】ホストaからパケットを受け取ったアクセ
スサーバ(A)28は、IPトンネリング処理を行う。
すなわち、ホストaのIPアドレスLaとサーバアドレ
スSaとを含むIPパケットへッダをアクセスサーバ
(A)28、(S)26のグローバルアドレスでカプセ
ル化し、インターネットを経由してアクセスサーバ
(S)26にパケットを送信する。他のアクセスサーバ
(B)29、(C)30においても、同様の処理が行わ
れ、それぞれがアクセスサーバ(S)26にトンネリン
グされたパケットを送信する。The access server (A) 28 which has received the packet from the host a performs an IP tunneling process.
That is, the IP packet header including the IP address La of the host a and the server address Sa is encapsulated with the global addresses of the access servers (A) 28 and (S) 26, and the access server (S) 26 is accessed via the Internet. Send the packet to. The same processing is performed in the other access servers (B) 29 and (C) 30, and each transmits the tunneled packet to the access server (S) 26.
【0034】アクセスサーバ(A)28からパケットを
受け取ったアクセスサーバ(S)26は、カプセルを解
くと、ここから先の通信においてパケットの送信元であ
る閉域網31を特定可能にするため、IPトンネルとV
LANタグのペア〔(Ga,Gs)⇔vlan600〕をテーブルに
記憶しており、該当するタグ(vlan600)をパケットに付
与する。そして、脱カプセル後のIPヘッダに従い、サ
ーバ装置11に向けてパケットを送信する。このとき、
閉域網32に属するホストb、閉域網33に属するホス
トcからの通信も全く同様である。それぞれのIPトン
ネルとVLANタグのペア〔(Gb,Gs)⇔vlan601〕,
〔(Gc,Gs)⇔vlan602〕を記憶したテーブルに従って、
それぞれVLANタグ(vlan601)と(vlan602)がパケッ
トに付与される。When the access server (S) 26 receives the packet from the access server (A) 28 and uncapsulates it, the access server (S) 26 can identify the closed network 31 which is the transmission source of the packet in the communication thereafter. Tunnel and V
A LAN tag pair [(Ga, Gs) ⇔ vlan600] is stored in the table, and the corresponding tag (vlan600) is added to the packet. Then, according to the decapsulated IP header, the packet is transmitted to the server device 11. At this time,
The same applies to communication from the host b belonging to the closed network 32 and the host c belonging to the closed network 33. Each IP tunnel and VLAN tag pair [(Gb, Gs) ⇔vlan601],
According to the table that stores [(Gc, Gs) ⇔ vlan602],
VLAN tags (vlan601) and (vlan602) are added to the packet, respectively.
【0035】アクセスサーバ(S)26からタグ付きパ
ケットを受け取ったサーバ装置11では、そのVLAN
タグ(vlan600)にマッチするプロトコルスタック19と
論理デバイスインタフェース23のペア(inet0,dev
0)を下位マッピングモジュール22のテーブルより選
択し、該当する通信フロー12へパケットを転送する。
その通信フロー12の中で、パケットは論理デバイスイ
ンタフェース(dev0)23からプロトコルスタック(in
et0)19までの下位通信フローを経由し、同プロトコ
ルスタック19にリンクされているWebサーバのサー
バプロセス(gid1000)15へ上位通信フローを使って届
けられる。このとき、ホストb、ホストcからの通信
も、全く同様のプロセスにより処理される。In the server device 11 which has received the tagged packet from the access server (S) 26, the VLAN
A pair (inet0, dev) of the protocol stack 19 and the logical device interface 23 matching the tag (vlan600)
0) is selected from the table of the lower mapping module 22, and the packet is transferred to the corresponding communication flow 12.
In the communication flow 12, packets are transferred from the logical device interface (dev0) 23 to the protocol stack (in
The lower communication flow up to et0) 19 is used to reach the server process (gid1000) 15 of the Web server linked to the protocol stack 19 using the upper communication flow. At this time, communications from the host b and the host c are also processed by the same process.
【0036】以上、サーバ装置11にとって、La、L
b、Lcのように送信元のIPアドレスが衝突しても、
また各々のユーザ側閉域網31,32,33が割り当て
たサーバアドレスがSa,Sb,Scのように衝突して
も、サーバ装置11内部において通信フロー12,1
3,14をネットワーク上、論理的に分離しており、サ
ーバサービスを各閉域網31,32,33と全く独立し
て提供することができる。As described above, for the server device 11, La, L
Even if the sender's IP address collides like b and Lc,
Further, even if the server addresses assigned by the user-side closed networks 31, 32, and 33 collide with each other like Sa, Sb, and Sc, the communication flows 12 and 1 inside the server device 11 will be described.
3, 14 are logically separated on the network, and the server service can be provided completely independently of each closed network 31, 32, 33.
【0037】(通信動作)
(サーバ装置からユーザ側閉域網のホストへ)次に、W
ebサーバがホストaに返答パケットを送信することを
考える。Webサーバのサーバプロセス(gid1000)15
は、自らがリンクしているプロトコルスタック(inet
0)19に対して上位通信フローを使ってパケットを返
す。同プロトコルスタック19の各プロトコルにおいて
パケット処理が行われた後、下位通信フローを管理する
下位マッピングモジュール22のテーブル〔(inet0,d
ev0)⇔vlan600〕に従って、パケットにはVLAN(vl
an600)がタグ付けされ、下位通信フローの論理デバイス
インタフェース(dev0)23からアクセスサーバ(S)
26に向けてパケットを送信する。このとき、ホスト
b,cに対する返答パケットも、全く同様のプロセスに
より処理される。(Communication Operation) (From Server to Host on User-side Closed Network) Next, W
Consider that the eb server sends a reply packet to host a. Web server server process (gid1000) 15
Is the protocol stack (inet
0) A packet is returned to 19 using the upper communication flow. After packet processing is performed in each protocol of the protocol stack 19, a table [(inet0, d
ev0) ⇔ vlan600] according to the VLAN (vl
an600) is tagged, and from the logical device interface (dev0) 23 of the lower communication flow to the access server (S)
The packet is transmitted toward 26. At this time, reply packets to the hosts b and c are also processed by exactly the same process.
【0038】サーバ装置11からタグ付きパケットを受
け取ったアクセスサーバ(S)26は、IPトンネルと
VLANタグのペア〔(Ga,Gs)⇔vlan600〕を記憶した
テーブルに従って、IPトンネリング処理を行う。すな
わち、サーバアドレスSaとホストaのIPアドレスL
aとを含むIPパケットヘッダをアクセスサーバ(S)
26、(A)28のグローバルアドレスでカプセル化
し、インターネットを経由してアクセスサーバ(A)2
8にパケットを送信する。このとき、ホストb,cに対
する返答パケットも全く同様であり、IPトンネルとV
LANタグのペア〔(Gb,Gs)⇔vlan601〕、〔(Gc,G
s)⇔vlan602〕に従って、アクセスサーバ(B)29、
(C)30にそれぞれパケットを送信する。The access server (S) 26, which has received the tagged packet from the server device 11, carries out the IP tunneling process according to the table storing the pair of the IP tunnel and the VLAN tag [(Ga, Gs) ⇔vlan600]. That is, the server address Sa and the IP address L of the host a
Access server (S) for IP packet header including a
26, (A) 28 is encapsulated with a global address, and the access server (A) 2 is accessed via the Internet.
8 send packet. At this time, the reply packets to the hosts b and c are exactly the same, and the IP tunnel and V
LAN tag pair [(Gb, Gs) ⇔vlan601], [(Gc, G
s) ⇔ vlan602], access server (B) 29,
(C) Each packet is transmitted to 30.
【0039】アクセスサーバ(S)26からパケットを
受け取ったアクセスサーバ(A)28は、カプセルを解
くと、脱カプセル後のIPヘッダに従い、ホストaに向
けてパケットを送信する。最終的にホストaがパケット
を受け取る。同様に、ホストbはアクセスサーバ(B)
29から、ホストcはアクセスサーバ(C)30からパ
ケットを受け取る。Upon receiving the packet from the access server (S) 26, the access server (A) 28, when decapsulating, sends the packet to the host a according to the IP header after decapsulation. Finally, the host a receives the packet. Similarly, host b is access server (B)
From 29, host c receives the packet from access server (C) 30.
【0040】(新たなユーザ側閉域網に対するサービス
展開)既に登録されているユーザ側閉域網(A)31、
(B)32、(C)33に対して、新たにユーザ側閉域
網(D)が追加登録された場合、サーバ側閉域網10で
は下記のように対処する。未使用の通信フローの中から
1つを選び、
(1)プロトコルスタック:(inet3)
(2)グループID:(gid1003)
(3)上位マッピングモジュール:〔inet3⇔gid1003〕
(4)下位マッピングモジュール:〔(inet3,dev3)⇔vl
an603〕
(5)アクセスサーバ(S):〔(Gd,Gs)⇔vlan603〕
を施すことにより、他の閉域網の環境を変更することな
く、容易に新たなユーザ側閉域網(D)に対して仮想サ
ーバサービスを展開することができる。(Service Deployment for New User-side Closed Network) The user-side closed network (A) 31, which has already been registered,
When the user-side closed network (D) is newly added and registered with respect to (B) 32 and (C) 33, the server-side closed network 10 handles as follows. Select one from the unused communication flows, (1) Protocol stack: (inet3) (2) Group ID: (gid1003) (3) Upper mapping module: [inet3⇔gid1003] (4) Lower mapping module: ((Inet3, dev3) ⇔vl
an603] (5) Access server (S): By performing [(Gd, Gs) ⇔ vlan603], it is easy to create a new user-side closed network (D) without changing the environment of other closed networks. Virtual server services can be deployed.
【0041】(サーバ装置)図4は、本発明の一実施例
を示すサーバ装置の構成図である。図4に示すように、
本発明のサーバ装置11は、複数のプロセスを処理する
サーバプロセス41と、サーバプロセス群からプロトコ
ルスタック多重構成部46までの上位通信フローを管理
する上位マッピングモジュール42と、プロトコルスタ
ック多重構成部46から物理ネットワークデバイス多重
構成部51までの下位通信フローを管理する下位マッピ
ングモジュール47とから構成される。上位マッピング
モジュール42と下位マッピングモジュール47は、い
ずれも組み合わせ記憶部44,49と、これに結合され
たリンク制御部43,45および48,50から成る。(Server Device) FIG. 4 is a block diagram of a server device showing an embodiment of the present invention. As shown in FIG.
The server device 11 of the present invention includes a server process 41 that processes a plurality of processes, an upper mapping module 42 that manages an upper communication flow from the server process group to the protocol stack multiplex configuration unit 46, and a protocol stack multiplex configuration unit 46. It is composed of a lower mapping module 47 that manages a lower communication flow up to the physical network device multiplex configuration unit 51. Each of the upper mapping module 42 and the lower mapping module 47 is composed of combination storage units 44, 49 and link control units 43, 45 and 48, 50 connected to them.
【0042】サーバ装置11は、サーバプロセス41か
らプロトコルスタック46までの上位通信フローと、プ
ロトコルスタック46から物理ネットワークインタフェ
ースまたは論理デバイスインタフェース51までの下位
通信フローとの組み合わせからなる通信フローを複数装
備する。これらの通信フローをユーザ側閉域網ごとに1
つずつ割り当てることにより、各ユーザ側閉域網とサー
バ装置間のサーバ内における個々の通信経路をネットワ
ーク上で論理的に分離し、複数接続しているユーザ側閉
域網の特定と分離を実現している。The server device 11 is equipped with a plurality of communication flows each consisting of a combination of the upper communication flow from the server process 41 to the protocol stack 46 and the lower communication flow from the protocol stack 46 to the physical network interface or the logical device interface 51. . 1 these communication flows for each closed network on the user side
By allocating each of them, the individual communication paths in the server between each user-side closed network and the server device are logically separated on the network, and the user-side closed networks that are connected to each other are identified and separated. There is.
【0043】サーバ装置11は、各ユーザ側閉域網に割
り当てた固有の通信フローを用いて、プロトコルスタッ
ク多重構成部46が担うサーバアドレスの保持、パケッ
ト配送経路の制御、各プロトコルパケットの処理などの
インターネット通信機能と、Webサーバ、FTP(F
ile Transfer Protocol)サーバ
などのサーバプロセスとを独立して提供し、ユーザ側閉
域網間は他のユーザ側閉域網と通信フローを共有される
ことなく、ネットワーク上、論理的に閉域性を保持した
まま、サーバ装置11との通信を行うことが可能であ
る。The server device 11 uses the unique communication flow assigned to each user-side closed network to hold the server address carried by the protocol stack multiplex configuration unit 46, control the packet delivery route, process each protocol packet, etc. Internet communication function, Web server, FTP (F
A server process such as an ile Transfer Protocol (server) is provided independently, and the user side closed network does not share the communication flow with other user side closed networks, and logically maintains the closedness on the network. As it is, it is possible to communicate with the server device 11.
【0044】このように、物理的には1台のサーバ装置
11であるが、サーバプロセス41がリンク制御部45
により制御されることにより、複数のサーバプロセス群
となり、さらにリンク制御部43の制御により、プロト
コルスタック多階構成部46が複数のプロトコルスタッ
クを構成する。上位マッピングモジュール42は、サー
バプロセス群とプロトコルスタックとの組み合わせを記
憶するとともに、サーバプロセスを該当するプロトコル
スタックにリンク制御することにより、上位通信フロー
を管理する。また、下位マッピングモジュール47は、
物理ネットワークインタフェースまたは論理デバイスイ
ンタフェースの多重構成部51とプロトコルスタック4
6との組み合わせを記憶するとともに、プロトコルスタ
ックを該当する物理ネットワークインタフェースまたは
論理デバイスインタフェースにリンク制御することによ
り、下位通信フローを管理する。さらに、上位通信フロ
ーと下位通信フローとの組み合わせからなる通信フロー
を複数装備し、これらの通信フローをユーザ側閉域網ご
とに1つずつ割り当てることにより、各ユーザ側閉域網
とサーバ装置間の個々の通信経路をネットワーク上、論
理的に分離する。As described above, the server process 41 is physically one server device, but the server process 41 is the link control unit 45.
Under the control of a plurality of server processes, and under the control of the link control unit 43, the protocol stack multi-tiered configuration unit 46 constitutes a plurality of protocol stacks. The upper level mapping module 42 stores the combination of the server process group and the protocol stack, and manages the upper level communication flow by link controlling the server process to the corresponding protocol stack. In addition, the lower mapping module 47
Multiplexing unit 51 of physical network interface or logical device interface and protocol stack 4
The lower communication flow is managed by storing the combination with 6 and link controlling the protocol stack to the corresponding physical network interface or logical device interface. Further, by providing a plurality of communication flows each consisting of a combination of the upper communication flow and the lower communication flow, and allocating one of these communication flows to each user-side closed network, the individual communication between each user-side closed network and the server device can be performed. The communication paths of are logically separated on the network.
【0045】(サーバ装置用プログラム)図4および段
落番号〔0041〕〜〔0044〕で説明したサーバ装
置の動作をプログラムに変換し、変換したプログラムを
CD−ROMなどの記録媒体に記録しておけば、サーバ
側閉域網の任意のサーバ装置のコンピュータにこの記録
媒体を装着し、プログラムをインストールして実行させ
ることにより、本発明を容易に実現することができる。(Server Device Program) The operation of the server device described in FIG. 4 and paragraph numbers [0041] to [0044] may be converted into a program, and the converted program may be recorded in a recording medium such as a CD-ROM. For example, the present invention can be easily realized by mounting this recording medium on a computer of an arbitrary server device in the server-side closed network and installing and executing the program.
【0046】[0046]
【発明の効果】以上説明したように、本発明によれば、
複数のユーザ側閉域網がサーバ側閉域網とIPトンネル
を用いてアクセスサーバにより接続を行うネットワーク
通信において、サーバ装置により提供されるサーバ機能
とサーバプロセスと各ユーザ側閉域網間で共有すること
なく、各々のユーザ側閉域網に独立して提供することが
できる。その結果、サーバ側閉域網に設置する物理的に
1台のサーバ装置が各々のユーザ側閉域網に属している
専用サーバであるかのように動作させることが可能にな
る。その結果、今後増加すると予想される複数企業間で
のデータ交換を必要とするプロジェクトの実施時や調達
業務の実施時に必要となる複数閉域網向けの共用サーバ
の構築、運用などを提供するハウジングサービスへの展
開が可能となる。As described above, according to the present invention,
In network communication in which a plurality of closed networks on the user side are connected to the closed network on the server side by an access server using an IP tunnel, without sharing between the server function provided by the server device, the server process, and each closed network on the user side. , Each user side closed network can be provided independently. As a result, it becomes possible to physically operate one server device installed in the server-side closed network as if it were a dedicated server belonging to each user-side closed network. As a result, a housing service that provides the construction and operation of a shared server for multiple closed networks, which is required during the implementation of projects that require data exchange between multiple companies, which is expected to increase in the future, and the implementation of procurement operations. Can be expanded to.
【0047】また、このサービスは、自社の閉域網に手
を加えることなく、複数の他企業と情報の連携が可能に
なるため、ISPなどが行っているVPNサービスの新
しい付加サービスとしての展開が見込める。さらに、企
業のみならず、個人向けのポータルサイトサービスへの
展開も可能になる。また、本発明では、1つのサーバ装
置に対して、各ユーザ閉域網の管理者は、自由にアドレ
スを付与することができ、プッシュプル型サービスを受
けることができる。このように、本発明は、閉域網向け
の新しい情報流通プラットフォームを構築する手段とし
ての利用を見込める、という顕著な効果を奏する。Since this service enables information to be linked with a plurality of other companies without modifying the closed network of the company, it can be deployed as a new additional service of the VPN service provided by ISPs and the like. Can be expected. Furthermore, it will be possible to expand to portal site services for individuals as well as companies. Further, in the present invention, an administrator of each user closed network can freely assign an address to one server device and can receive a push-pull type service. As described above, the present invention has a remarkable effect that it can be used as a means for constructing a new information distribution platform for closed networks.
【図1】本発明のネットワーク間通信方法を適用するネ
ットワーク構成図である。FIG. 1 is a network configuration diagram to which an inter-network communication method of the present invention is applied.
【図2】従来のインターネットプロトコルスタックを示
す図である。FIG. 2 is a diagram showing a conventional Internet protocol stack.
【図3】本発明の一実施例を示すネットワーク間通信方
法の動作説明図である。FIG. 3 is an operation explanatory diagram of an inter-network communication method showing an embodiment of the present invention.
【図4】本発明の一実施例を示すサーバ装置の構成図で
ある。FIG. 4 is a configuration diagram of a server device showing an embodiment of the present invention.
10…サーバ側閉域網、11…サーバ装置、12…通信
フロー(閉域網A用)、13…通信フロー(閉域網B
用)、14…通信フロー(閉域網C用)、15,16,
17…サーバプロセス群、18…上位マッピングモジュ
ール、19,20,21…TCP/IPプロトコル群、
22…下位マッピングモジュール、23,24,25…
論理デバイスインタフェース、26…アクセスサーバ
(S)、27…インターネット、28,29,30…ア
クセスサーバ(A),(B),(C)、a,b,c…ホスト、3
1,32,33…閉域網(A),(B),(C)、3
4,35,36…VLANタグ、41…サーバプロセ
ス、42…上位マッピングモジュール、43,45…リ
ンク制御部、44…組み合わせ記憶部、46…プロトコ
ルスタック多重構成部、47…下位マッピングモジュー
ル、48,50…リンク制御部、49…組み合わせ記憶
部、51…論理ネットワークデバイス多重構成部。10 ... Server-side closed network, 11 ... Server device, 12 ... Communication flow (for closed network A), 13 ... Communication flow (closed network B)
, 14 ... Communication flow (for closed network C), 15, 16,
17 ... Server process group, 18 ... Upper mapping module, 19, 20, 21 ... TCP / IP protocol group,
22 ... Lower mapping module, 23, 24, 25 ...
Logical device interface, 26 ... Access server (S), 27 ... Internet, 28, 29, 30 ... Access server (A), (B), (C), a, b, c ... Host, 3
1, 32, 33 ... Closed networks (A), (B), (C), 3
4, 35, 36 ... VLAN tag, 41 ... Server process, 42 ... Upper mapping module, 43, 45 ... Link control unit, 44 ... Combination storage unit, 46 ... Protocol stack multiplexing configuration unit, 47 ... Lower mapping module, 48, 50 ... Link control unit, 49 ... Combination storage unit, 51 ... Logical network device multiplex configuration unit.
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GB01 HB02 HB11 KB06 KF06 KG08 5K033 AA04 CB08 DA05 DB12 DB14 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5B089 GB01 HB02 HB11 KB06 KF06 KG08 5K033 AA04 CB08 DA05 DB12 DB14
Claims (7)
用いてアクセスサーバにより接続を行うサーバ側閉域網
内に物理的に1台のサーバ装置を用いた網間ネットワー
ク通信方法であって、 サーバプロセス群とプロトコルスタックとの組み合わせ
を記憶し、かつ前記サーバプロセス群とプロトコルスタ
ックとのリンクを記憶した内容に従って制御するモジュ
ールにより管理される上位通信フローと、物理ネットワ
ークインタフェースまたは論理デバイスインタフェース
と前記プロトコルスタックとの組み合わせを記憶し、か
つ前記プロトコルスタックを該当する物理ネットワーク
インタフェースまたは論理デバイスインタフェースにリ
ンクさせるモジュールにより管理される下位通信フロー
との組み合わせからなる通信フローを複数用意し、 前記通信フローをユーザ側閉域網ごとに1つずつ割り当
てることにより、各ユーザ側閉域網と前記サーバ装置間
における前記サーバ装置内の個々の通信経路をネットワ
ーク上、論理的に分離することを特徴とする複数ユーザ
側閉域網とサーバ側閉域網間のネットワーク通信方法。1. An inter-network communication method using a single server device physically in a server-side closed network in which a plurality of user-side closed networks and IP tunnels are used for connection by an access server. A higher communication flow managed by a module that stores a combination of a process group and a protocol stack and that controls a link between the server process group and the protocol stack according to the stored content, a physical network interface or a logical device interface, and the protocol. A plurality of communication flows that are stored in combination with a stack and are combined with a lower communication flow managed by a module that links the protocol stack to a corresponding physical network interface or logical device interface, By allocating one communication flow to each closed network on the user side, individual communication paths in the server device between each closed network on the user side and the server device are logically separated on the network. A method of network communication between a closed network of multiple users and a closed network of servers.
において、 前記通信フローごとの物理ネットワークインタフェース
または論理デバイスインタフェースにネットワークを介
して接続する各ユーザ側閉域網との通信では、当該通信
フローのプロトコルスタックとサーバプロセス群とを用
いて各ユーザ側閉域網に独立したサーバサービスの提供
を行うことを特徴とする複数ユーザ側閉域網とサーバ側
閉域網間のネットワーク通信方法。2. The network communication method according to claim 1, wherein in communication with each user-side closed network connected to the physical network interface or logical device interface for each communication flow via the network, the protocol of the communication flow is used. A network communication method between a closed network on the side of a plurality of users and a closed network on the side of a server, wherein an independent server service is provided to each closed network on the side of a user by using a stack and a group of server processes.
通信方法において、 前記複数の通信フローごとの物理ネットワークインタフ
ェースまたは論理デバイスインタフェースに対し、IP
アドレスの重複した割り当てを許容することを特徴とす
る複数ユーザ側閉域網とサーバ側閉域網間のネットワー
ク通信方法。3. The network communication method according to claim 1, wherein an IP is applied to a physical network interface or a logical device interface for each of the plurality of communication flows.
A network communication method between a closed network on the side of multiple users and a closed network on the side of a server, which allows overlapping addresses to be assigned.
用いてアクセスサーバにより接続を行うサーバ側閉域網
に設けられる物理的に1台のサーバ装置であって、 サーバプロセス群とプロトコルスタックとの組み合わせ
を記憶し、かつ前記サーバプロセス群とプロトコルスタ
ックとのリンクを記憶された内容に従って制御すること
により、上位通信フローを管理する手段と、 物理ネットワークインタフェースまたは論理デバイスイ
ンタフェースと前記プロトコルスタックとの組み合わせ
を記憶し、かつ前記プロトコルスタックを該当する物理
ネットワークインタフェースまたは論理デバイスインタ
フェースにリンクさせることにより、下位通信フローを
管理する手段と、 上位通信フローと下位通信フローとの組み合わせからな
る通信フローを複数装備し、前記通信フローをユーザ側
閉域網ごとに1つずつ割り当てることにより、各ユーザ
側閉域網と前記サーバ装置間における前記サーバ装置内
の個々の通信経路をネットワーク上、論理的に分離する
通信手段とを具備することを特徴とするサーバ装置。4. A physically single server device provided in a server-side closed network that is connected by an access server using a plurality of user-side closed networks and IP tunnels, and comprises a server process group and a protocol stack. A means for managing the higher-level communication flow by storing the combination and controlling the link between the server process group and the protocol stack according to the stored contents, and a combination of the physical network interface or logical device interface and the protocol stack. And a communication flow composed of a combination of the upper communication flow and the lower communication flow, by storing the above information and linking the protocol stack to a corresponding physical network interface or logical device interface. By equipping a plurality of units and allocating one communication flow to each closed network on the user side, individual communication paths in the server device between each closed network on the user side and the server device are logically separated on the network. A server device comprising: a communication unit.
または論理デバイスインタフェースにネットワークを介
して接続を行う各ユーザ側閉域網との通信では、当該通
信フローのプロトコルスタックとサーバプロセス群とを
用いて、各ユーザ側閉域網に独立したサーバサービスを
行う仮想サーバ提供手段を具備することを特徴とするサ
ーバ装置。5. The server apparatus according to claim 4, wherein in communication with each user-side closed network that connects to a physical network interface or a logical device interface for each communication flow via the network, the protocol of the communication flow is used. A server device comprising: a virtual server providing means for performing an independent server service for each user-side closed network by using a stack and a group of server processes.
ーバ装置の動作をコンピュータに実現させるためのサー
バ装置用プログラム。6. A server device program for causing a computer to realize the operation of the server device according to claim 4.
ムを格納したことを特徴とするコンピュータ読み取り可
能な記録媒体。7. A computer-readable recording medium having the server device program according to claim 6 stored therein.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001370464A JP2003167805A (en) | 2001-12-04 | 2001-12-04 | Network communication method among two or more user- side closed networks and server-side closed network, and server device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001370464A JP2003167805A (en) | 2001-12-04 | 2001-12-04 | Network communication method among two or more user- side closed networks and server-side closed network, and server device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003167805A true JP2003167805A (en) | 2003-06-13 |
Family
ID=19179686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001370464A Pending JP2003167805A (en) | 2001-12-04 | 2001-12-04 | Network communication method among two or more user- side closed networks and server-side closed network, and server device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003167805A (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007519379A (en) * | 2004-01-22 | 2007-07-12 | 株式会社東芝 | Multihoming and service network selection using IP access network |
| US7420979B2 (en) | 2003-11-20 | 2008-09-02 | Hitachi Communcation Technologies, Ltd. | VLAN server |
| US7773613B2 (en) | 2007-12-14 | 2010-08-10 | Kddi Corporation | Communication control method and system |
| WO2014080993A1 (en) | 2012-11-22 | 2014-05-30 | 日本電気株式会社 | Communication system, virtual-network management device, communication node, and communication method and program |
| US8943123B2 (en) | 2010-03-19 | 2015-01-27 | Fujitsu Limited | Server apparatus, network access method, and computer program |
| JP2015216692A (en) * | 2008-12-10 | 2015-12-03 | アマゾン テクノロジーズ インコーポレイテッド | Providing access to configurable private computer networks |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US9756018B2 (en) | 2008-12-10 | 2017-09-05 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| JP2017535106A (en) * | 2014-09-23 | 2017-11-24 | エスエーエス−イマーゴタグ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | Wireless base station and system including the wireless base station |
| US10868715B2 (en) | 2008-12-10 | 2020-12-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
-
2001
- 2001-12-04 JP JP2001370464A patent/JP2003167805A/en active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7420979B2 (en) | 2003-11-20 | 2008-09-02 | Hitachi Communcation Technologies, Ltd. | VLAN server |
| US8094660B2 (en) | 2003-11-20 | 2012-01-10 | Hitachi, Ltd. | VLAN server |
| JP2007519379A (en) * | 2004-01-22 | 2007-07-12 | 株式会社東芝 | Multihoming and service network selection using IP access network |
| US7860978B2 (en) | 2004-01-22 | 2010-12-28 | Toshiba America Research, Inc. | Establishing a secure tunnel to access router |
| JP4675909B2 (en) * | 2004-01-22 | 2011-04-27 | 株式会社東芝 | Multihoming and service network selection using IP access network |
| US7773613B2 (en) | 2007-12-14 | 2010-08-10 | Kddi Corporation | Communication control method and system |
| JP2015216692A (en) * | 2008-12-10 | 2015-12-03 | アマゾン テクノロジーズ インコーポレイテッド | Providing access to configurable private computer networks |
| US9521037B2 (en) | 2008-12-10 | 2016-12-13 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US9756018B2 (en) | 2008-12-10 | 2017-09-05 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US10868715B2 (en) | 2008-12-10 | 2020-12-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US10951586B2 (en) | 2008-12-10 | 2021-03-16 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US11290320B2 (en) | 2008-12-10 | 2022-03-29 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US11831496B2 (en) | 2008-12-10 | 2023-11-28 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US8943123B2 (en) | 2010-03-19 | 2015-01-27 | Fujitsu Limited | Server apparatus, network access method, and computer program |
| WO2014080993A1 (en) | 2012-11-22 | 2014-05-30 | 日本電気株式会社 | Communication system, virtual-network management device, communication node, and communication method and program |
| JP2017535106A (en) * | 2014-09-23 | 2017-11-24 | エスエーエス−イマーゴタグ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | Wireless base station and system including the wireless base station |
| US10742252B2 (en) | 2014-09-23 | 2020-08-11 | Ses-Imagotag Gmbh | Radio base station and system having said radio base station |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI449380B (en) | Data center network system and packet forwarding method thereof | |
| CN102025591B (en) | Method and system for implementing virtual private network | |
| CN102447752B (en) | Service access method, system and device based on layer 2 tunnel protocol (L2TP) | |
| JP4598859B2 (en) | Relay network system and terminal adapter device | |
| CN105264855A (en) | Method, device and system for realizing private network traversal | |
| US20030172170A1 (en) | Providing multiple ISP access to devices behind NAT | |
| JP2003273935A (en) | Network-connecting apparatus and method for providing direct connection between network devices in different private networks | |
| US8265084B2 (en) | Local network connecting system local network connecting method and mobile terminal | |
| CN101499965B (en) | Method for network packet routing forwarding and address converting based on IPSec security association | |
| AU2001249810A1 (en) | Methods and apparatus for processing network data transmissions | |
| JP2007228548A (en) | Dynamic building of vlan interfaces based on subscriber information strings | |
| US20050265354A1 (en) | Method and apparatus for enabling link local address system to communicate with outer system | |
| CN112187674B (en) | Network structure and networking method supporting IPv4 and IPv6 dual-stack mixing | |
| WO2005083959A1 (en) | Network access router, network access method, program, and recording medium | |
| JP3858884B2 (en) | Network access gateway, network access gateway control method and program | |
| US8437357B2 (en) | Method of connecting VLAN systems to other networks via a router | |
| JP3394727B2 (en) | Method and apparatus for communication between networks | |
| JP2003167805A (en) | Network communication method among two or more user- side closed networks and server-side closed network, and server device | |
| US7773613B2 (en) | Communication control method and system | |
| US20080049765A1 (en) | Method and system for inter working a point-to-point link and a LAN service | |
| Cisco | Configuring DECnet | |
| Cisco | Configuring DECnet | |
| Cisco | Configuring DECnet | |
| Cisco | Configuring DECnet | |
| Cisco | Configuring DECnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050225 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050426 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050701 |